„Imaš li ti info da je on sljedeći? Ja sam nešto potpuno drugačije čula…“, glasila je poruka poslata sa nepoznatog broja sa prikačenim linkom, koju je novinarka BIRN-a primila putem Vibera 14. februara ove godine.
Sve je ličilo na poruku potencijalnog izvora koji želi da dojavi neku informaciju, ali neobičan link i nepoznat pošiljalac pobudili su sumnju da je riječ o fišingu – i to ne bilo kakvom. Sat vremena ranije, još jedna novinarka BIRN-a dobila je poruku na Viber sa istog nepoznatog broja, piše BIRN .
Nakon što se posumnjalo da su poruke pokušaj instalacije špijunskog softvera na telefone novinarki, BIRN se obratio bezbjednosnoj laboratoriji Amnesty Internationala za pomoć. Njihova forenzička analiza potvrdila je da je riječ o napadima špijunskim softverom Pegazus.
„Otkrili smo da tekstualne poruke sadrže linkove ka internet domenu na srpskom jeziku, za koji sa visokim stepenom sigurnosti možemo reći da je povezan sa špijunskim softverom Pegazus kompanije NSO Group“, kaže Donaka O’Kerol, rukovodilac bezbjednosne laboratorije Amnesty International-a.
Napad, na sreću, nije bio uspješan jer novinarke nisu kliknule na link. Da jesu, jedan od najsofisticiranijih i najinvazivnijih programa za digitalni nadzor na svijetu – Pegazus – bio bi instaliran na njihove telefone i omogućio bi pristup njihovim porukama, mejlovima, kameri, mikrofonu i datotekama – bez njihovog znanja.
„Kada sam dobila poruku bila sam u svom domu, što smatram na neki način povredom privatnosti doma. Ustav mi garantuje da su prisluškivanje i nadzor zabranjeni kad sam u svojoj kući. Čim sam vidjela poruku, vidjela sam da osoba nije upisana u mom imeniku, da ostvaruje tako neposrednu komunikaciju, da se ne potpisuje ko je i ko joj je dao moj broj. Djelovalo je tako neposredno i tako aktuelno. Ja sam onda odgovorila: ‘Nemam ovaj broj u imeniku, može li za početak – ko piše?’ Poruka nije otišla. Zatim sam pozvala taj broj i bio je nedostupan“, kaže novinarka BIRN-a koja je željela da ostane anonimna, jer kako kaže: „Danas sam ja, sutra je neko drugi. Bitna je priča, a ne ja.“
Jelena Veljković, višestruko nagrađivana novinarka BIRN-a sa preko 30 godina iskustva, takođe je sa istog broja, u isto doba dana, dobila poruku na Viberu.
„Poruka je bila zamućena od strane same aplikacije, kao bezbjednosni mehanizam Vibera. Ja se nisam usudila da napravim bilo šta što bi omogućilo instalaciju. Ne znam šta je pisalo, ali moglo je da se vidi da je napisano u dva reda bijelim slovima, i onda u dva reda plavim slovima – nekakav link”, kaže Jelena Veljković.
Odmah je blokirala broj sa kojeg je poruka došla. “Ne bih obratila mnogo pažnje na tu poruku da, kad sam se vratila kući, nisam ušla u prepisku na našoj redakcijskoj grupi, gdje sam videla da je još jedna koleginica dobila poruku sa istog broja i približno u isto vrijeme“, kaže Veljković.
To saznanje jeste uznemirujuće, navodi ona, jer se radi o privatnom telefonu koji koristi i za posao.
“Svijest o tome da je neko imao motiv i novca da takav softver plasira u uređaje, znajući šta Pegazus sve može… To može da se doživi i kao poruka upozorenja, pritisak, kao ‘pazite se, gledamo vas, šta radite’, jer napadač je mogao da računa da novinari BIRN-a neće tako olako kliknuti na link. Ne znamo ko stoji iza napada. Ja imam svoje pretpostavke o kojima ne bih da spekulišem. Ne znam ni zašto su odabrali baš mene i koleginicu – možda je to upozorenje cijelom BIRN-u“, kaže Veljković.
Obje novinarke dobile su poruku 14. februara 2025. godine sa Viber naloga registrovanog na broj telefona +381659940263. Broj je registrovan u Telekomu Srbija i od 14. februara do danas je nedostupan.
Jelena Veljković primila je poruku u 12:55, na Android telefonu i nije je otvorila. Druga koleginica manje od sat kasnije, u 13:46 na iPhone uređaju. Poruka primljena na njenom telefonu sadržala je tekst na srpskom jeziku i link ka internet domenu, takođe na srpskom jeziku.
Forenzički tim Amnesty Internationala je sa visokim stepenom sigurnosti utvrdio da je domen sadržan u ovom linku povezan sa špijunskim softverom Pegazus. Ova procjena zasnovana je na dokazima koje je Amnesty International prikupio tokom višegodišnje istrage o zloupotrebi ovog špijunskog softvera.
Novinarka BIRN-a nije kliknula na link, zbog čega špijunski softver Pegazus nije bio uspješno instaliran na njen telefon. Kada su istraživači Amnesty Internationala otvorili link u bezbjednom okruženju, on je preusmjeravao na lažnu stranicu N1, na adresi https://n1info.com. Stručnjaci Amnestija napominju da je i jedan od prethodnih pokušaja Pegazus napada putem „jednog klika“, koji je u julu 2023. ciljao jednog od vođa protesta u Srbiji, takođe preusmjeravao na isti medijski sajt.
Amnesty International je zaključio da je u oba slučaja novinarki BIRN-a riječ o pokušaju infekcije Pegazus softverom putem metode „jedan klik“ (1-click). Obje poruke i linkovi poslati su u razmaku od svega jednog sata, sa istog Viber broja, dvijema novinarkama koje rade u istoj redakciji.
Novinarka BIRN-a, koja je željela da ostane anonimna i koja je takođe višestruko nagrađivana sa višedecenijskim iskustvom, smatra da će se pokušaji špijunaže nastaviti.
„Vjerujem da nismo poslednji u redakciji koji će to da dožive. Imala sam osjetljive kontakte u tom periodu – možda baš zbog tih izvora smo skrenuli pažnju na nas. U našem poslu svi imamo takve izvore i priče, tako da se neće završiti na nas dvije. Ne moraju da mi ubacuju špijunski softver – mi tekstove objavljujemo javno, tako da svako iz službe može da ih pročita potpuno besplatno. Istrazivačko novinarstvo je patriotizam. Mi ne dobijamo značke i oružje, ne nosimo represivnu silu sa sobom, a otkrivamo ono što je važno da Srbiji bude bolje, jer otkrivamo ono što je loše.“
Kompanija NSO Group navodi da se njihovi proizvodi koriste isključivo od “strane državnih obavještajnih i policijskih agencija u borbi protiv kriminala i terorizma“. U pismu upućenom Amnesty International-u, NSO Group je navela da se svi njihovi sistemi “prodaju isključivo provjerenim državnim korisnicima“. Kompanija NSO odgovorila je BIRN-u da se pridržava međunarodnih propisa o ljudskim pravima i izvoznih regulativa, te da ne može da prihvati nalaze Amnesty International dok ne sprovede internu evaluaciju.
U okviru ovog istraživanja, Amnesty International nije identifikovao nijednu drugu vladu osim srpske koja bi imala interes da cilja dve novinarke BIRN-a. Amnesty International zaključuje da postoji velika verovatnoća da su jedan ili više aktera iz državnog aparata Srbije, ili agenti koji djeluju u njihovo ime, bili uključeni u ovu najnoviju upotrebu špijunskog softvera Pegazus za ciljanje dvije istraživačke novinarke BIRN-a. Posebno zabrinjava činjenica da NSO Group očigledno i dalje omogućava korišćenje softvera Pegazus u Srbiji, uprkos dva prethodna izveštaja Amnesty International-a koji su dokumentovali njegovu zloupotrebu u zemlji. Licenca za korišćenje Pegazusa košta između 20.000 i 30.000 dolara po osobi.
Amnesty International se u novembru 2024. i ponovo u martu 2025. obratio Bezbjednosno-informativnoj agenciji (BIA) u pokušaju da dobije odgovor na ova saznanja, ali do trenutka objavljivanja izvještaja nije primio nikakav odgovor.
Slučajevi dvije novinarke BIRN-a predstavljaju četvrti i peti slučaj u poslednje dvije godine u kojima je bezbjednosna laboratorija Amnesty Internationala otkrila upotrebu špijunskog softvera Pegazus protiv predstavnika medija i civilnog društva u Srbiji. U novembru 2023. godine, Amnesty International i njegovi partneri Access Now, SHARE fondacija i Citizen Lab dokumentovali su da su dva člana srpskog civilnog društva bila meta napada špijunskim softverom koji ne zahtijeva nikakvu interakciju korisnika (zero-click napad). Istraživanje je takođe otkrilo i treći, ranije neprijavljen slučaj, u kojem je jedan srpski aktivista bio meta pokušaja infekcije Pegazusom putem linka koji zahtijeva jedan klik, još u julu 2023. godine.
Pored ranijih otkrića da srpske bezbjednosne strukture koriste Cellebrite opremu za digitalnu forenziku mobilnih telefona i NoviSpy softver za praćenje, koji zahtijevaju fizički pristup telefonu, upotreba Pegazus špijunskog softvera daje novu dimenziju, jer može da se instalira na telefon žrtve daljinskim putem i bez vidljivih tragova.
Rodoljub Šabić, bivši Povjerenik za zaštitu podataka o ličnosti, ističe da je upotreba Pegazusa i sličnih programa izvan krivičnog postupka ili zaštite bezbjednosti države – kažnjiva. „Nezakonita upotreba svih ovih ‘alata’ je, ako je praktikuje vlast, nespojiva sa idejom pravne države i ugrožava više ustavom zajamčenih prava građana. A sa aspekta slobode djelovanja medija i novinara, dodatno je, posebno opasna, jer dovodi u pitanje jedan od fundamentalnih standarda novinarstva – tajnost novinarskog izvora“, kaže za BIRN Šabić.
Milorad Ivanović, glavni i odgovorni urednik BIRN Srbija kaže da napad na naše dvije koleginice nije samo napad na njih dvije – to je napad na cio BIRN.
“Iako je pokušaj špijunaže bio sofisticiran, poruka koju šalje je primitivna – da treba da ućutimo, da se povučemo, da se uplašimo. Ovo nas neće zaustaviti. Naprotiv – još odlučnije ćemo raditi ono što najbolje znamo: da otkrivamo istinu, štitimo izvore i služimo javnom interesu. Jer istinu ne možete ućutkati spyware-om. Možete je samo učiniti još neophodnijom”.
Novinarke BIRN-a kažu da ih ovo neće poremetiti u svakodnevnom radu na istraživačkim pričama. „Jeste mi sve ovo malo neprijatno, ali ne vidim zašto bih se povlačila pred pritiscima, jer svako u okviru svoje profesije nekim malim doprinosom može da dovede do toga da jednog dana živimo u nekom normalnijem društvu, ako ne sasvim sređenom“, kaže Jelena Veljković.
Druga novinarka BIRN-a kaže da je „ružno što je neko sebi dozvolio previše da zadire u intimu. Smatram ovo pokušajem sputavanja da radim posao, koji i inače radim u tenzičnim okolnostima. Dovelo me je do toga da se osjetim na momenat bijesno i nesigurnije, a i da budem još opreznija – što očigledno nikad nije na odmet u 21.veku. Biću još opreznija i svima ostalima ću govoriti da budu oprezniji. Inače, nikad nisam praktikovala da one najbitnije informacije razmjenjujem telefonom.“
